Thought Leadership
Zukünftige Quantencomputer gefährden herkömmliche Verschlüsselung – schon jetzt. Rechtsakte wie die DSGVO, der AI Act und DORA verpflichten Unternehmen, den neuesten Stand der Technik einzuhalten. Dabei sollte man Quantencomputer im Blick behalten.
Leistungsfähige Quantencomputer, die es potenziell in der Zukunft geben kann, bedrohen bereits heute etablierte Verschlüsselungsmethoden. Sie könnten mathematische Probleme lösen, auf denen derzeit gängige Verschlüsselungsverfahren aufbauen. Diese Probleme wurden ausgewählt, weil sie von klassischen Computern nicht effizient lösbar sind. Die potenzielle Entwicklung leistungsfähiger Quantencomputer in der Zukunft bringt aber, bildlich gesprochen, eine neue Variable in die Gleichung.
Ein prominentes Beispiel in diesem Kontext ist die sogenannte „Store now, decrypt later“-Strategie. Dabei werden verschlüsselte Daten – etwa aus der Kommunikation über sichere Messenger – systematisch abgefangen und gespeichert, mit dem Ziel, sie zu einem späteren Zeitpunkt mithilfe von Quantencomputern zu entschlüsseln. Diese Vorgehensweise wird bereits seit Jahren unter anderem von staatlichen Akteuren verfolgt. Neue Brisanz erhielt das Thema im Zuge der Diskussionen um die sogenannte Signal-Gate-Affäre im März 2025. Dabei wurde öffentlich diskutiert, ob Nachrichten, die über den als besonders sicher geltenden Dienst Signal ausgetauscht wurden, künftig durch den Einsatz leistungsfähiger Quantencomputer lesbar gemacht werden könnten. Der Fall unterstreicht: Die potenziellen Auswirkungen von Quantencomputing auf bestehende Verschlüsselungsstandards werden in der Fachwelt ernst genommen – und zunehmend auch in der öffentlichen Debatte reflektiert.
Vor diesem Hintergrund müssen die eingesetzten Verschlüsselungsverfahren überdacht werden. Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und seine Pendants in anderen EU-Mitgliedstaaten raten dazu, insbesondere sensible Daten bis spätestens 2030 so zu verschlüsseln, dass sie gegen Angriffe von Quantencomputern geschützt sind. Dabei könnten auch quantensichere Verschlüsselungsverfahren zum Einsatz kommen, die das US-amerikanische National Institute of Standards and Technology (NIST) im August 2024 standardisiert hat. Solche quantensicheren Verfahren sind noch recht neu und in der Praxis bislang wenig getestet worden. Daher empfiehlt unter anderem das BSI derzeit, sie mit konventionellen Verfahren zu hybriden Lösungen zu kombinieren. Es ist zu erwarten, dass die Empfehlungen demnächst konkretisiert werden.
Regulatorische Komponente
Die Verschiebungen beim Stand der Technik im Bereich Verschlüsselung wirken sich auch in rechtlicher Hinsicht aus. Die technische Weiterentwicklung beeinflusst nämlich regulatorische Anforderungen. Beides kann nicht losgelöst voneinander betrachtet werden. Diese Entwicklung betrifft Unternehmen aller Branchen, besonders aber stark regulierte Bereiche wie Finanzdienstleistungen oder kritischen Infrastrukturen.
Drei Rechtsakte, bei denen die Entwicklungen im Bereich Verschlüsselung virulent werden, sind beispielsweise die Datenschutzgrundverordnung (DSGVO), die Verordnung über künstliche Intelligenz (AI Act) und der Digital Operational Resilience Act (DORA). Sie verlangen, dass Unternehmen Verschlüsselungstechnologien entsprechend dem neuesten Stand der Technik einsetzen.
Die DSGVO dient dem Schutz personenbezogener Daten. In Artikel 32 DSGVO werden datenverarbeitende Stellen verpflichtet, geeignete technische und organisatorische Maßnahmen, einschließlich Verschlüsselung anzuwenden, um den Schutz personenbezogener Daten zu gewährleisten. Der Stand der Technik füllt diese Regelung aus.
Der AI Act regelt in Artikel 15 Cybersicherheitsanforderungen für Hochrisiko-KI-Systeme. Hiernach müssen die technischen Lösungen zur Gewährleistung der Cybersicherheit den jeweiligen Umständen und Risiken angemessen sein. Diese Vorgabe ist für einige Hochrisiko-KI-Systeme ab August 2026, für andere ab August 2027 relevant. Ob sie erfüllt sind, wird für einige der Systeme im Rahmen von Konformitätsbewertungsverfahren bestimmt. Die dabei maßgeblichen Anforderungen sind noch nicht vollständig geklärt und können je nach System variieren. Umso wichtiger ist es aber, dass Unternehmen und öffentliche Stellen darauf vorbereitet sind, dass quantensichere Verschlüsselung hier eine Rolle spielen kann.
DORA zielt darauf ab, ein hohes Niveau an digitaler operationaler Resilienz von Netzwerk- und Informationssystemen zu gewährleisten, die von Finanzinstituten genutzt werden. Erfasste Stellen müssen gemäß Artikel 9 ein hohes Sicherheitsniveau gewährleisten, das neue Bedrohungen berücksichtigt. Auch hier kann die Bedrohung durch künftige Quantencomputer nicht außen vor bleiben. Künftige Regulierungsstandards könnten diese Anforderungen konkretisieren.
Strategien zur Anpassung an neue Anforderungen
Um den sich wandelnden rechtlichen Anforderungen gerecht zu werden, sollten Unternehmen ihre Verschlüsselungspraktiken bewerten und gegebenenfalls anpassen. Dafür brauchen sie einen Prozess, der aktuelle Entwicklungen berücksichtigt. Dieser Prozess sollte auch Dienstleister und andere Partner erfassen, denn Daten sind nur so sicher, wie das schwächste Glied in der Verschlüsselungskette. Spezialisierte Anbieter, aber auch Behörden können im Einzelfall wertvolle Hilfestellungen bieten. Eine sorgfältige Dokumentation aller Entscheidungen und Maßnahmen erleichtert die Einhaltung rechtlicher Anforderungen und den Nachweis gegenüber Aufsichtsbehörden.
Quantensicherheit als rechtliche Pflicht und Chance
Die Einführung quantensicherer Verschlüsselung ist nicht mehr nur eine technische Herausforderung, sondern zunehmend auch eine rechtliche Notwendigkeit. Unternehmen, die frühzeitig reagieren, sichern sich nicht nur rechtlich ab, sondern stärken möglicherweise auch das Vertrauen von Kunden und Partnern. Die kommenden Jahre werden zeigen, wie Gesetzgeber und Behörden die neuen Anforderungen interpretieren. Für Unternehmen gilt es, wachsam zu bleiben und sich proaktiv auf die Herausforderungen des Quantenzeitalters vorzubereiten.
Autorin: Dr. Juliana Kliesch, Rechtsanwältin im Hamburger Büro von Bird & Bird
